S kritickými zranitelnostmi pro Android se roztrhl pytel

AndroidA v ohrožení jsou prakticky všichni uživatelé tohoto operačního systému.

Jedna ze zranitelností nazvaná Stagefright (CVE-2015-3824) zneužívá chyby v přehrávači MMS zpráv, který když obdrží maligní videosoubor, a pokusí se ho přehrát, tak dojde k úniku škodlivého kódu ze sandboxu a ke kompromitaci telefonu. Nakazit se však můžete i přes webové stránky, na kterých se maligní videosoubor může rovněž nacházet.

Štítky: ,
celý článek

Byla objevena kritická zranitelnost v aplikaci JAVA

zranitelnostZranitelností evidovanou jako CVE-2015-2590 trpí údajně jen JAVA 1.8.0.45, starší verze Java 1.6 a 1.7 tuto zranitelnost podle Trend Micro neobsahují.

K dispozici je již patch, který tuto zranitelnost odstraňuje.

Štítky:
celý článek

Další zero-day zranitelnost v OpenSSL a ticho po pěšině

kryptografieVzpomínáte ještě na kritickou zranitelnost Heartbleed v OpenSSL a celou tu hysterii okolo?

Teď jsme tady měli další zranitelnost CVE-2015-1793, která dosáhla ještě vyššího CVSS skóre a nic. A to je dobře. Ale zaznamenali jste tuto zranitelnost vůbec? Nejspíš ne, protože se o ní skoro vůbec nepsalo.

Štítky: ,
celý článek

Na internet unikly informace o další kritické zranitelnosti v Adobe Flash Playeru

zranitelnostByly zveřejněny informace o dalších kritických zranitelnostech v Adobe Flash Player.

O víkendu byly zveřejněny informace o dalších nově objevených zranitelnostech CVE-2015-5122 a CVE-2015-5123, kterými trpí verze Adobe Flash Player 18.0.0.203 a starší, vizte Adobe Security Bulletin.

Štítky:
celý článek

Byla objevena další kritická zranitelnost v Adobe Flash Playeru

zranitelnostTouto kritickou zranitelností, evidovanou jako CVE-2015-3113, trpí všechny verze Adobe Flash Playeru a to jak na platformě Windows, tak i Macintosh a Linux.

Kompletní výčet zranitelných verzí je uveden zde. Vzhledem k závažnosti této zranitelnosti se všem uživatelům doporučuje upgrade na poslední verzi.

Štítky:
celý článek

Byly zveřejněny detailní informace ohledně zero-day zranitelnosti v iOS a OS X

malwareVše začalo v říjnu minulého roku, kdy skupina několika univerzitních výzkumníků odhalila možnost, jak pomocí aplikace, kterou si uživatel nainstaluje přímo z Appstore, získat hesla uložená v Keychain.

Tuto zranitelnost nazvali XARA a informovali o ní Apple, který však do dnešního dne nevydal novou verzi OS, který by tuto zranitelnost odstraňovala, a proto se rozhodli zveřejnit detaily ohledně této zranitelnosti, vizte PDF.

Štítky:
celý článek

Ne, tenhle obrázek opravdu nemůže hacknout váš počítač

jokerStegosploit není žádný exploit, který by zneužíval nějakou kritickou zero-day zranitelnost v kódu starající se o zobrazování obrázků v prohlížeči, tak jako tomu bylo v tomto případě, nýbrž je to jen obfuskovaný javascript ukrytý v obrázku pomocí steganografie a zneužívající skutečnosti, že obsah souboru lze interpretovat jako skript stejně jako obrázek.

Štítky: ,
celý článek

NetUSB aneb další kritická zranitelnost v domácích routerech

zranitelnostByla objevena další kritická zranitelnost v domácích routerech s funkci NetUSB přibližně od 92 různých výrobců, kterých by mělo být po celém světě až několik miliónů.

Touto zranitelností evidovanou jako CVE-2015-3036 by měly trpět SOHO routery využívající kernel modul od taiwanské společnosti Kcodes, jedná se např. o: TP-LINK, D-LINK, EDIMAX, NETGEAR, Trendnet, Western Digital nebo ZyXEL.

Štítky:
celý článek

Co mají společného zranitelnosti Beast, Crime, Poodle a Freak?

zranitelnostPředevším to, že se jedná o zranitelnosti v šifrovacích protokolech SSL/TLS používaných pro zajištění bezpečné komunikace mezi klientem a serverem, kterým se dostalo nebývalé mediální pozornosti i přes jejich chabé CVSS skóre.

Jak by také ne, když tyto zranitelnosti obdržely taková hezká poetická jména a v souvislosti s nimi se psalo o tom, že v ohrožení jsou všichni uživatelé přistupující na internet přes HTTPS.

Štítky:
celý článek

Když do 90 dní chybu neodstraníte, tak vše zveřejníme!

questionV červenci minulého roku zahájila společnost Google tzv. Project Zero.

Cílem tohoto projektu je odhalování zranitelností nultého dne v široce používaném software, které jsou dost často zneužívány k šíření malware a nejrůznějším APT útokům. Google ve svém prohlášení tehdy uvedl, že chyby, které odhalí, bude reportovat pouze výrobcům daného software.

Štítky:
celý článek